VMware Cloud Director 環境中的 NSX Data Center for vSphere Edge 閘道支援網站間網際網路通訊協定安全性 (IPsec),以保護組織虛擬資料中心網路之間或組織虛擬資料中心網路與外部 IP 位址之間的 VPN 通道的安全。您可以在 Edge 閘道上設定 IPsec VPN 服務。

最常見的情況是設定從遠端網路到組織虛擬資料中心的 IPsec VPN 連線。NSX 軟體提供 Edge 閘道的 IPsec VPN 功能,包括支援憑證驗證、預先共用金鑰模式以及本身和遠端 VPN 路由器之間的 IP 單點傳播流量。您也可以將多個子網路設定為透過 IPsec 通道連線至 Edge 閘道後方的內部網路。將多個子網路設定為透過 IPsec 通道連線至內部網路時,這些子網路和 Edge 閘道後方的內部網路必須不能具有重疊的位址範圍。

備註: 如果 IPsec 通道之間的本機和遠端對等具有重疊的 IP 位址,跨通道流量轉寄可能會不一致,具體取決於本機連線的路由和自動探索的路由是否存在。

支援下列 IPsec VPN 演算法:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • 三重 DES (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (Diffie-Hellman 群組 2)
  • DH-5 (Diffie-Hellman 群組 5)
  • DH-14 (Diffie-Hellman 群組 14)
備註: IPsec VPN 不支援動態路由通訊協定。當您在組織虛擬資料中心的 Edge 閘道與遠端站台上的實體閘道 VPN 之間設定 IPsec VPN 通道時,您無法設定該連線的動態路由。該遠端站台的 IP 位址無法由 Edge 閘道上行中的動態路由學習。

NSX 管理指南》中的〈IPSec VPN 概觀〉主題中所述,Edge 閘道上支援的通道數目上限由其設定的大小所決定:精簡型、大型、超大型和四倍大。

若要檢視 Edge 閘道組態的大小,請導覽至 Edge 閘道,然後按一下 Edge 閘道名稱。

在 Edge 閘道上設定 IPsec VPN 的程序包含多個步驟。

備註: 如果通道端點之間有防火牆,可以在設定 IPsec VPN 服務之後,更新防火牆規則以允許下列 IP 通訊協定及 UDP 連接埠:
  • IP 通訊協定 ID 50 (ESP)
  • IP 通訊協定 ID 51 (AH)
  • UDP 連接埠 500 (IKE)
  • UDP 連接埠 4500

VMware Cloud Director Service Provider Admin Portal中導覽至 NSX Data Center for vSphere Edge 閘道上的 IPsec VPN 畫面

IPsec VPN 畫面中,您可以開始為 NSX Data Center for vSphere Edge 閘道設定 IPsec VPN 服務。

程序

  1. 開啟 Edge 閘道服務。
    1. 從左側一級導覽面板中選取資源,然後在頁面頂部導覽列中選取雲端資源索引標籤。
    2. 從左側二級面板中,選取 Edge 閘道
    3. 按一下目標 Edge 閘道名稱旁邊的選項按鈕,然後按一下服務
  2. 導覽至 VPN > IPsec VPN

下一步

使用 IPsec VPN 站台畫面設定 IPsec VPN 連線。必須設定至少一個連線,然後才能啟用 Edge 閘道上的 IPsec VPN 服務。請參閱在 VMware Cloud Director Service Provider Admin Portal中設定 NSX Data Center for vSphere Edge 閘道的 IPsec VPN 站台連線

VMware Cloud Director Service Provider Admin Portal中設定 NSX Data Center for vSphere Edge 閘道的 IPsec VPN 站台連線

使用 VMware Cloud Director 租用戶入口網站中的 IPsec VPN 站台 畫面,可設定透過 Edge 閘道的 IPsec VPN 功能建立組織虛擬資料中心與另一個站台之間的 IPsec VPN 連線所需的設定。

當您設定站台之間的 IPsec VPN 連線時,可以從目前位置設定連線。設定連線需要您瞭解 VMware Cloud Director 環境中的概念,以便正確設定 VPN 連線。

  • 本機和對等子網路會指定 VPN 連線的網路。當您在 IPsec VPN 站台組態中指定這些子網路時,請輸入網路範圍而非特定的 IP 位址。使用 CIDR 格式,例如 192.168.99.0/24
  • 對等識別碼是唯一識別終止 VPN 連線之遠端裝置的識別碼,通常是其公用 IP 位址。對於使用憑證驗證的對等,此識別碼必須為對等憑證中所設定的辨別名稱。對於 PSK 對等,此識別碼可以是任何字串。NSX 最佳做法是使用遠端裝置的公用 IP 位址或 FQDN 做為對等識別碼。如果對等 IP 位址來自另一個組織虛擬資料中心網路,您可以輸入對等的原生 IP 位址。如果為對等設定 NAT,您可以輸入對等的私人 IP 位址。
  • 對等端點會指定要連線的遠端裝置的公用 IP 位址。如果對等的閘道無法從網際網路直接存取,但透過另一台裝置連線,則對等端點可能為不同於對等識別碼的其他位址。如果為對等設定 NAT,您可以輸入裝置用於 NAT 的公用 IP 位址。
  • 本機識別碼指定組織虛擬資料中心之 Edge 閘道的公用 IP 位址。您可以輸入 IP 位址或主機名稱,以及 Edge 閘道防火牆。
  • 本機端點可指定 Edge 閘道傳輸所在的組織虛擬資料中心的網路。通常,Edge 閘道的外部網路為本機端點。

必要條件

程序

  1. IPsec VPN 索引標籤上,按一下 IPsec VPN 站台
  2. 按一下新增 (建立按鈕) 按鈕。
  3. 設定 IPsec VPN 連線設定。
    選項 動作
    已啟用 在兩個 VPN 端點之間啟用此連線。
    啟用完整轉寄密碼 (PFS) 啟用此選項可讓系統針對您的使用者起始的所有 IPsec VPN 工作階段產生唯一公開金鑰。

    啟用 PFS 可確保系統不會建立 Edge 閘道的私密金鑰和每個工作階段金鑰之間的連結。

    損壞工作階段金鑰將不會影響除在受到特定金鑰保護之特定工作階段中交換的資料以外的資料。無法透過損壞伺服器的私密金鑰,來解密已封存的工作階段或未來工作階段。

    啟用 PFS 時,此 Edge 閘道的 IPsec VPN 連線會產生輕微的處理額外負荷。

    重要: 唯一工作階段金鑰不得用於衍生任何其他金鑰。此外,IPsec VPN 通道的兩端都必須支援 PFS 才能使其運作。
    名稱 (選擇性) 輸入連線的名稱。
    本機識別碼 輸入 Edge 閘道執行個體的外部 IP 位址,此為 Edge 閘道的公用 IP 位址。

    此 IP 位址將用於遠端站台上的 IPsec VPN 組態中的對等識別碼。

    本機端點 輸入做為此連線之本機端點的網路。

    本機端點可指定 Edge 閘道傳輸所在的組織虛擬資料中心的網路。通常,外部網路為本機端點。

    如果使用預先共用金鑰新增 IP 至 IP 通道,本機識別碼可與本機端點 IP 相同。

    本機子網路 輸入要在站台之間共用的網路,並使用逗號做為分隔符號輸入多個子網路。

    透過使用 CIDR 格式輸入 IP 位址,以輸入網路範圍 (非特定 IP 位址)。例如,192.168.99.0/24

    對等識別碼 輸入唯一識別對等站台的對等識別碼。

    對等識別碼是唯一識別終止 VPN 連線之遠端裝置的識別碼,通常是其公用 IP 位址。

    對於使用憑證驗證的對等,識別碼必須為對等憑證中的辨別名稱。對於 PSK 對等,此識別碼可以是任何字串。NSX 最佳做法是使用遠端裝置的公用 IP 位址或 FQDN 做為對等識別碼。

    如果對等 IP 位址來自另一個組織虛擬資料中心網路,您可以輸入對等的原生 IP 位址。如果為對等設定 NAT,您可以輸入對等的私人 IP 位址。

    對等端點 輸入對等站台的 IP 位址或 FQDN,此為要連線的遠端裝置的公用位址。
    備註: 為對等設定 NAT 時,可以輸入裝置用於 NAT 的公用 IP 位址。
    對等子網路 輸入 VPN 連線的遠端網路,並使用逗號做為分隔符號輸入多個子網路。

    透過使用 CIDR 格式輸入 IP 位址,以輸入網路範圍 (非特定 IP 位址)。例如,192.168.99.0/24

    加密演算法 從下拉式功能表中選取加密演算法類型。
    備註: 您選取的加密類型必須符合在遠端站台 VPN 裝置上設定的加密類型。
    驗證 選取驗證。選項包括:
    • PSK

      預先共用金鑰 (PSK) 可指定 Edge 閘道和對等站台之間共用的秘密金鑰將用於驗證。

    • 憑證

      憑證可指定在全域層級定義的憑證將用於驗證。此選項無法使用,除非您已在 IPsec VPN 索引標籤的全域組態畫面上設定全域憑證。

    變更共用金鑰 (選擇性) 當您更新現有連線的設定時,您可以開啟此選項使預先共用金鑰欄位可供使用,以便您可以更新共用金鑰。
    預先共用金鑰 如果您選取 PSK 做為驗證類型,請輸入英數密碼字串,該字串的長度上限為 128 個位元組。
    備註: 共用金鑰必須符合在遠端站台 VPN 裝置上設定的金鑰。最佳做法是在匿名站台連線至 VPN 服務時設定共用金鑰。
    顯示共用金鑰 (選擇性) 啟用此選項,使共用金鑰顯示在畫面中。
    Diffie-Hellman 群組 選取允許對等站台與此 Edge 閘道透過不安全的通訊通道建立共用密碼的加密編譯配置。
    備註: Diffie-Hellman 群組必須符合在遠端站台 VPN 裝置上設定的內容。
    延伸 (選擇性) 輸入下列其中一個選項:
    • securelocaltrafficbyip=IPAddress,可透過 IPsec VPN 通道重新導向 Edge 閘道的本機流量。

      這是預設值。

    • passthroughSubnets=PeerSubnetIPAddress,支援重疊的子網路。
  4. 按一下保留
  5. 按一下儲存變更

下一步

設定遠端站台的連線。您必須在連線的兩端 (組織虛擬資料中心和對等站台) 設定 IPsec VPN 連線。

啟用此 Edge 閘道上的 IPsec VPN 服務。如果已至少設定一個 IPsec VPN 連線,您可以啟用此服務。請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上啟用 IPsec VPN 服務

使用 VMware Cloud Director Service Provider Admin PortalNSX Data Center for vSphere Edge 閘道上啟用 IPsec VPN 服務

已設定至少一個 IPsec VPN 連線時,您可以啟用 Edge 閘道上的 IPsec VPN 服務。

必要條件

程序

  1. IPsec VPN 索引標籤上,按一下啟用狀態
  2. 按一下 IPsec VPN 服務狀態以啟用 IPsec VPN 服務。
  3. 按一下儲存變更

結果

Edge 閘道 IPsec VPN 服務處於作用中狀態。

VMware Cloud Director Service Provider Admin Portal中指定 NSX Edge 閘道上的全域 IPsec VPN 設定

使用全域組態畫面,在 Edge 閘道層級設定 IPsec VPN 驗證設定。在此畫面上,可以設定全域預先共用金鑰,並啟用憑證驗證。

全域預先共用金鑰將用於對等端點設定為 any 的站台。

必要條件

程序

  1. 開啟 Edge 閘道服務。
    1. 從左側一級導覽面板中選取資源,然後在頁面頂部導覽列中選取雲端資源索引標籤。
    2. 從左側二級面板中,選取 Edge 閘道
    3. 按一下目標 Edge 閘道名稱旁邊的選項按鈕,然後按一下服務
  2. IPsec VPN 索引標籤上,按一下全域組態
  3. (選擇性) 設定全域預先共用金鑰:
    1. 啟用變更共用金鑰選項。
    2. 輸入預先共用金鑰。
      全域預先共用金鑰 (PSK) 由對等端點設定為 any 的所有站台共用。如果全域 PSK 已設定,將 PSK 變更為空白值並儲存對現有設定沒有影響。
    3. (選擇性) 選擇性啟用顯示共用金鑰,以顯示該預先共用金鑰。
    4. 按一下儲存變更
  4. 設定憑證驗證:
    1. 開啟啟用憑證驗證
    2. 選取適當的服務憑證、CA 憑證與 CRL。
    3. 按一下儲存變更

下一步

您可以選擇性地針對 Edge 閘道的 IPsec VPN 服務啟用記錄。請參閱VMware Cloud Director Service Provider Admin Portal中 NSX Data Center for vSphere Edge 閘道的統計資料和記錄